Wfuzz adalah alat pengujian keamanan web berbasis brute force yang menggunakan konsep sederhana: menggantikan referensi kata kunci "FUZZ" dengan nilai payload yang diberikan. Payload di Wfuzz adalah sumber data yang bisa digunakan untuk melakukan serangan terhadap aplikasi web.

Fitur Utama

Konsep dasar Wfuzz memungkinkan pengujian injeksi pada berbagai bagian permintaan HTTP, seperti parameter, otentikasi, formulir, direktori/berkas, header, dan lainnya. Dengan demikian, Wfuzz dapat digunakan untuk melakukan serangan kompleks pada berbagai komponen aplikasi web.

Wfuzz juga dirancang khusus untuk bruteforcing aplikasi web. Alat ini dapat digunakan untuk menemukan sumber daya yang tidak terhubung, seperti direktori tersembunyi, servlet, skrip, dan lainnya. Wfuzz juga bisa digunakan untuk bruteforce parameter GET dan POST guna memeriksa berbagai jenis injeksi (seperti SQL, XSS, LDAP, dll.), melakukan bruteforce parameter formulir (username/password), serta melakukan fuzzing pada aplikasi web untuk mengidentifikasi potensi kelemahan keamanan.

Meskipun dikenal sebagai alat brute force web, Wfuzz lebih dari itu. Alat ini juga memiliki pemindai kerentanan aplikasi web yang didukung oleh plugin. Selain itu, Wfuzz adalah kerangka kerja yang sepenuhnya modular, memudahkan para pengembang Python, bahkan yang baru, untuk berkontribusi. Pembuatan plugin di Wfuzz cukup sederhana dan dapat diselesaikan dalam beberapa menit.

Fitur lainnya adalah antarmuka bahasa sederhana yang memungkinkan akses ke permintaan/response HTTP yang dilakukan sebelumnya. Ini memberi peneliti keamanan kemampuan untuk melakukan pengujian manual maupun semi-otomatis dengan konteks yang jelas, tanpa bergantung sepenuhnya pada pemindai aplikasi web.

Pengembang

Wfuzz dikembangkan oleh Xavier Mendez (xmendez@edge-security.com).

Instalasi

Untuk menginstal Wfuzz, cukup gunakan perintah pip berikut:

pip install wfuzz

Anda juga dapat menjalankan Wfuzz melalui Docker dengan perintah berikut:

docker run -v $(pwd)/wordlist:/wordlist/ -it ghcr.io/xmendez/wfuzz wfuzz

Dokumentasi

Dokumentasi lengkap Wfuzz tersedia di:

• http://wfuzz.readthedocs.io

Unduh

Anda dapat mengunduh versi terbaru Wfuzz melalui GitHub:

• https://github.com/xmendez/wfuzz/releases/latest

Referensi

• https://wfuzz.readthedocs.io/en/latest/
• https://github.com/xmendez/wfuzz
• https://www.kali.org/tools/wfuzz/